Специалисты Malwarebytes рассказали о размещенном в Chrome Web Store фальшивом расширении для браузера, которое имитирует менеджер паролей LastPass. При проникновении в систему поддельный плагин демонстрирует рекламу, осуществляет установку нежелательных инструментов и переадресацию пользователей на вредоносные веб-ресурсы.
Чтобы проанализировать поддельный LastPass, эксперты Malwarebytes осуществили инсталляцию плагина на тестовую систему. После завершения установки на экране появилось диалоговое окно, которое запрашивало разрешение на показ уведомлений. Эксперты дали разрешение и нажали на ярлык LastPass. Специалисты предполагали, что они запустят процесс выполнения вредоносного кода, но вместо этого произошла переадресация на веб-страницу appforchrome.com, содержавшую активные ссылки для загрузки программ. При переходе по одной из них эксперты попали на другой сайт. Возможно, что разработчики приложения получают оплату за каждую страницу, которую просмотрел пользователь.
Распознать фальшивое приложение можно по подозрительно низкому рейтингу в Chrome Web Store при том, что настоящий плагин очень популярен. Помимо этого, в качестве издателя указан AdGetBlock, а не lastpass.com, как в случае с настоящим приложением. В настоящее время фальшивая программа удалена из Chrome Web Store.
